IT全社統制・IT全般統制の評価

IT全社統制・IT全般統制の評価 ITに係る内部統制
2023.02.28

 IT全社統制は企業グループ全体にわたり有効なIT統制環境を確保するための仕組みであり、IT全般統制は、IT業務処理統制の適正な設定を継続させるための仕組みです。

 また、IT業務処理統制は、ともに評価される業務プロセスに係る内部統制と同様に、有効性評価の結果は財務報告の信頼性に直接影響を及ぼします。

 そしてIT全社統制とIT全般統制は、IT業務処理統制の有効性を支える役割を担っています。

ITに係る内部統制の分類

 この記事では、IT全社統制とIT全般統制の評価について簡単にまとめました。

※「IT全社統制」「IT全般統制の概要」の内部統制評価に関する箇所を抜粋しました。

IT全社統制の評価

 IT全社統制の評価では、経営者レベルでIT戦略の重要性が意識され、方針が定められていることがポイントです。

 IT全社統制は全社的な内部統制の一部として位置づけられているため、評価範囲は全社的な内部統制と同じになります。

 評価方法も全社的な内部統制と同様に、チェックリストを利用し、ヒアリングや記録の閲覧等によって整備・運用状況を評価します。

 なお、IT全社統制の評価では、内部牽制のため、社内のシステム部門と、仕訳作成など直接財務情報を処理する経理部門と切り分けておくことが重要です。

IT全社統制の不備

 IT全社統制は、企業グループ全体にわたって有効に機能するIT環境を確保するための仕組みであるため、IT全社統制に不備がある場合は、IT全般統制やIT業務処理統制の有効性に影響します。

 IT全社統制の不備の存在が財務報告の虚偽記載に直接つながるわけではありません。

 しかし、IT全社統制の不備がIT全般統制の有効性に影響を与え、その結果発生したIT業務処理統制の不備が、「開示すべき重要な不備」とみなされる場合もあり得ます。

IT全般統制の評価

 IT全般統制は、業務プロセスに係る内部統制と同様に、対象となる業務プロセスに存在するリスクを低減するコントロールを明確にするため、基本的には3点セット(業務記述書、フローチャート、リスク・コントロール・マトリクス)を評価作業に利用します。

 評価手順において、3点セット等で文書化することにより、評価対象となる業務プロセスを理解してうえで、整備・運用状況の有効性を評価します。

IT全般統制の評価範囲および評価単位

 IT全般統制は、業務を管理するシステムを支援するIT基盤(ハードウェア、ソフトウェア、ネットワーク等)ごとに評価を実施します。

評価対象とするシステムの把握

 評価対象とするシステムとして、財務報告に係るIT業務処理統制を実行しているシステムを検討することになります。

 なぜなら、IT業務処理統制は財務報告の虚偽記載リスクに直接影響を与えるからです。

 評価対象として選定された業務プロセス内のIT業務処理統制に関連するシステムを、3点セット等を利用して把握します。

 一般的には会計システムおよび会計システムにデータを引き渡すシステム(販売管理システム、購買管理システム等)が評価対象に該当すると考えられます。

 すべてのシステムを評価対象にすると評価作業の負担が膨大になるため、財務報告の信頼性の確保をどのIT業務処理統制に係るシステムが行っているのかを見極める必要があります。

IT基盤の概要の把握

 業務プロセスにかかわるシステムの状況とともに、以下のようなIT基盤の概要を把握する必要があります。

  • ITに関する組織の構成
  • ITに関する規程、手順書など
  • ハードウェアの構成
  • 基本ソフトウェアの構成
  • 外部委託の状況
  • ネットワークの構成

評価単位決定の検討事項

 IT全般統制の評価単位の検討の際、以下のような場合には評価単位を分けることを考慮に入れます。

  • 開発手続や変更管理手続が異なるシステム
  • システム運用の担当部署が異なるシステム
  • システム運用に係るサーバ等の機器の設置場所が分かれているシステム
  • 情報セキュリティー方針・手続が異なる部門

 たとえば、自社開発の販売管理システムをシステム部門が管理し、市販のパッケージソフトの会計システムは経理部門が管理している場合、評価単位はシステム部門と経理部門の2つを識別します。

 または、クラウドサービスとクライアントサーバシステムを併用しており、システム変更や運用の方法が異なっているような場合においても、個々のIT全般統制の整備が必要にあると考えられます。

 一方、評価対象のシステムが複数あっても、それらが同じ管理手続により管理されている等、内部統制の同質性が認められるのであれば、1つの評価単位としてまとめることも可能と思われます。

IT全般統制の評価単位

前年度の評価結果の利用

 ITの利用により自動化された統制は、一度適切に設定されれば一貫して機能するという性質を鑑み、IT全般統制の運用状況の評価において以下の要件に該当すれば、前年度の評価結果を利用することができます。

  • 財務報告の信頼性に特に需要な影響を及ぼす項目でないこと
  • 前年度の評価結果が有効であること
  • 前年度の整備状況と重要な変更がないこと

 なお、IT全般統制の整備状況の評価において、前年度の評価結果が利用できないことに留意が必要です。

 ただし、前年度のIT全般統制の運用状況の評価結果の利用について、IT環境の変化を踏まえて慎重に判断され、必要に応じて監査人と協議して行われるべきものであり、特定の年数を機械的に適用すべきものではないことに注意しなければなりません。

IT全般統制に不備がある場合

 IT全般統制に不備があったとしても、それがただちに財務報告の信頼性に重要な影響を与えるリスクにつながるわけではありません。

 IT業務処理統制が有効であれば、直接的には財務報告の虚偽記載が発生したとはいえないからです。

 しかし、IT全般統制の不備は、IT業務処理統制の有効性を継続的に維持できていない可能性を示唆しているため、不備をすみやかに改善することが求められます。

 また、保存されている財務データを失うようなリスクが高ければ、財務報告に与える影響の大きさを検討する必要があると思われます。

 しかし、システムの性質上、システム改修のように短期の改善等が困難な場合もありますので、代替的または補完的な他の統制によって財務報告の信頼性確保に対応する必要があります。

タイトルとURLをコピーしました